Cyberattaque massive contre les chemins de fer russes

Les services en ligne des chemins de fer russes ont subi une attaque DDoS majeure, rendant le site et l’application mobile inaccessibles pendant plusieurs heures.

Le matin du 6 juin, à partir de 10 heures, heure de Moscou, les plateformes numériques des chemins de fer russes (JSC Russian Railways) ont cessé de fonctionner. Les utilisateurs confrontés à des erreurs de type « 504 Gateway Time-out » ont signalé leur impossibilité d’acheter ou de rembourser des billets via le site officiel ou l’application mobile. Ces défaillances ont été confirmées par le service de presse de l’entreprise ferroviaire, qui a rapidement reconnu une attaque par déni de service distribué (DDoS) d’envergure.

Les premières anomalies ont été détectées dans les systèmes de réservation en ligne avant d’affecter progressivement la totalité des services numériques de la compagnie.
Les guichets physiques des gares, restés opérationnels durant l’incident, ont assuré la continuité du service pour les voyageurs. Les ventes et les remboursements de billets ont pu être effectués normalement, atténuant partiellement l’impact de la cyberattaque sur les usagers.

Une infrastructure visée et des origines encore inconnues

La société ferroviaire russe a immédiatement mobilisé ses équipes informatiques pour restaurer les services en ligne et renforcer la sécurité de ses systèmes. À ce jour, aucune indication officielle n’a été donnée concernant les auteurs ou les motivations de l’attaque. Une revendication a été repérée par le Service Veille ZATAZ sur Telegram, mais elle nous semble « fantaisiste », lancée un par un vendeur de DDoS.

Le recours à une attaque DDoS, consistant à submerger des serveurs de requêtes simultanées jusqu’à saturation, indique une volonté de rendre les services indisponibles sans nécessairement chercher à compromettre des données internes. Ce mode opératoire est fréquemment utilisé dans des actions de cyberharcèlement ou dans un but de sabotage. Il est moins technique que de s’attaquer à un serveur, à une base de données, Etc. L’attaque pourrait avoir mobilisé des réseaux de botnets répartis à l’échelle internationale, ce qui complexifie l’attribution et le traçage des responsables.

Cette attaque contre l’une des plus importantes infrastructures de transport en Russie intervient dans un contexte de tensions géopolitiques accrues et de recrudescence d’activités cybercriminelles ciblant des institutions publiques ou des opérateurs critiques. Bien qu’aucun lien formel n’ait été établi entre ces tensions et l’incident du 6 juin.

L’entreprise publique Russian Railways est l’un des plus vastes opérateurs ferroviaires mondiaux. Elle transporte des millions de passagers chaque année, et sa dépendance croissante aux solutions numériques pour la billetterie, la gestion du trafic et l’information voyageur en fait une cible prioritaire pour des groupes malveillants organisés, tout comme toutes les compagnies de transport de part le monde.